আরইএসটি প্রমাণীকরণের স্কিমগুলির সুরক্ষা

পটভূমি:

আমি একটি রেস্ট ওয়েব সার্ভিসের জন্য প্রমাণীকরণ স্কিম ডিজাইন করছি। এটি "সত্যই" সুরক্ষিত হওয়ার দরকার নেই (এটি ব্যক্তিগত প্রকল্পের বেশি) তবে আমি এটি ব্যায়াম / শেখার অভিজ্ঞতা হিসাবে যতটা সম্ভব নিরাপদ করতে চাই। আমি কোনও ঝামেলা চাই না এবং এসএসএলটি ব্যয় করার ব্যয়টি বেশিরভাগ ক্ষেত্রেই ব্যবহার করতে চাই না।

এই এসও প্রশ্নগুলি আমাকে শুরু করার জন্য বিশেষভাবে দরকারী ছিল:

• বিশুদ্ধ প্রমাণীকরণ
• একটি REST এপিআই / ওয়েব পরিষেবা সুরক্ষার জন্য সেরা অনুশীলন
• সেরা SOAP / REST / RPC ওয়েব API এর উদাহরণ? এবং কেন আপনি তাদের পছন্দ করেন? এবং এগুলিতে কী সমস্যা?

আমি অ্যামাজন এস 3 এর প্রমাণীকরণের একটি সরল সংস্করণ ব্যবহার করার কথা ভাবছি (আমি ওআউথ পছন্দ করি তবে এটি আমার প্রয়োজনের জন্য খুব জটিল)। পুনরায় খেলতে আক্রমণ রোধ করার জন্য, অনুরোধে সার্ভারের সরবরাহ করা এলোমেলোভাবে উত্পন্ন নোট যুক্ত করছি ।

প্রশ্ন পেতে:

এস 3 এবং ওআউথ উভয়ই কয়েকটি নির্বাচিত শিরোনাম সহ অনুরোধ URL টি স্বাক্ষর করার উপর নির্ভর করে। তাদের কেউই পোষ্ট বা পুট অনুরোধগুলির জন্য অনুরোধ সংস্থায় স্বাক্ষর করেন না । এটি কি কোনও মধ্য-মধ্যবর্তী আক্রমণে ঝুঁকিপূর্ণ নয়, যা ইউআরএল এবং শিরোলেখগুলিকে রাখে এবং আক্রমণকারীটি যে ডেটা চায় তার সাথে অনুরোধের বডিটি প্রতিস্থাপন করে?

মনে হচ্ছে আমি স্বাক্ষরিত স্ট্রিংয়ের অনুরোধের বডিটির একটি হ্যাশ অন্তর্ভুক্ত করে এটি থেকে রক্ষা করতে পারি। এটি কি নিরাপদ?

পূর্ববর্তী উত্তরটিতে ডেটা ট্রান্সফার প্রসঙ্গে কেবল এসএসএল উল্লেখ করা হয়েছিল এবং প্রকৃতপক্ষে প্রমাণীকরণকে আবৃত করে নি।

আপনি সত্যিই নিরাপদে REST এপিআই ক্লায়েন্টদের অনুমোদনের বিষয়ে জিজ্ঞাসা করছেন। যতক্ষণ না আপনি TLS এর ক্লায়েন্ট প্রমাণীকরণ ব্যবহার করছেন, SSL এর একা বিশ্রাম API- এর জন্য একটি টেকসই প্রমাণীকরণ প্রক্রিয়া নয়। ক্লায়েন্ট লেখকবিহীন এসএসএল কেবলমাত্র সার্ভারকে প্রমাণীকরণ করে যা বেশিরভাগ REST এপিআই-এর জন্য অপ্রাসঙ্গিক কারণ আপনি সত্যই ক্লায়েন্টকে প্রমাণীকরণ করতে চান ।

আপনি যদি টিএলএস ক্লায়েন্ট প্রমাণীকরণ ব্যবহার না করেন তবে আপনাকে ডাইজেস্ট-ভিত্তিক প্রমাণীকরণ স্কিম (অ্যামাজন ওয়েব সার্ভিসের কাস্টম স্কিমের মতো) বা ওআউথ 1.0a বা এমনকি এইচটিটিপি বেসিক প্রমাণীকরণ (তবে কেবল এসএসএল-এর উপরে) ব্যবহার করতে হবে।

এই স্কিমগুলি প্রমাণীকরণ করে যে অনুরোধটি প্রত্যাশিত কেউ পাঠিয়েছিলেন। টিএলএস (এসএসএল) (ক্লায়েন্ট প্রমাণীকরণ ব্যতীত) নিশ্চিত করে যে তারের মাধ্যমে প্রেরিত ডেটা অপরিবর্তিত রয়েছে। এগুলি পৃথক - তবে পরিপূরক - উদ্বেগ।

আগ্রহীদের জন্য, আমি এইচটিটিপি প্রমাণীকরণ প্রকল্প এবং তারা কীভাবে কাজ করে সে সম্পর্কে একটি SO প্রশ্নে প্রসারিত করেছি ।

আরআরএসটি মানে ওয়েবে স্ট্যান্ডার্ড নিয়ে কাজ করা এবং ওয়েবে "সুরক্ষিত" স্থানান্তরের মান এসএসএল। অন্য যে কোনও কিছুর ধরণের কৌতুকপূর্ণ হতে চলেছে এবং ক্লায়েন্টদের জন্য অতিরিক্ত স্থাপনার প্রচেষ্টা প্রয়োজন, যার এনক্রিপশন লাইব্রেরি উপলব্ধ থাকতে হবে।

আপনি একবার এসএসএলে প্রতিশ্রুতিবদ্ধ হয়ে গেলে, নীতিগতভাবে প্রমাণীকরণের জন্য সত্যিকারের অভিনব কোনও দরকার নেই। আপনি আবার ওয়েব স্ট্যান্ডার্ডের সাথে যেতে পারেন এবং এইচটিটিপি বেসিক লেখার (প্রতিটি অনুরোধের সাথে ব্যবহারকারীর নাম এবং গোপন টোকেন) ব্যবহার করতে পারেন কারণ এটি একটি বিস্তৃত স্বাক্ষরকারী প্রোটোকলের চেয়ে অনেক সহজ এবং সুরক্ষিত সংযোগের প্রসঙ্গে এখনও কার্যকর। আপনার কেবল নিশ্চিত হওয়া দরকার যে পাসওয়ার্ডটি কখনও সরল পাঠের উপরে যায় না; সুতরাং যদি কোনও সরল পাঠ্য সংযোগের মাধ্যমে পাসওয়ার্ডটি পাওয়া যায়, আপনি এমনকি পাসওয়ার্ডটি অক্ষম করে এবং বিকাশকারীকে মেল করতে পারেন। আপনার অবশ্যই নিশ্চিত করা উচিত যে শংসাপত্রগুলি প্রাপ্তির পরে কোথাও লগ হয় নি, যেমন আপনি নিয়মিত পাসওয়ার্ড লগ করেন না।

এইচটিটিপি ডাইজেস্ট একটি নিরাপদ পদ্ধতির কারণ এটি গোপন টোকেনটি পাশ দিয়ে যাওয়া প্রতিরোধ করে; পরিবর্তে, এটি সার্ভারের অন্য প্রান্তে যাচাই করতে পারে এমন একটি হ্যাশ। যদিও আপনি উপরে উল্লিখিত সতর্কতা অবলম্বন করেছেন তা কম সংবেদনশীল অ্যাপ্লিকেশনগুলির জন্য ওভারকিল হতে পারে। সর্বোপরি, লগ ইন করার সময় ব্যবহারকারীর পাসওয়ার্ডটি ইতিমধ্যে প্লেইন-পাঠ্যে প্রেরণ করা হয় (যদি না আপনি ব্রাউজারে কিছু অভিনব জাভাস্ক্রিপ্ট এনক্রিপশন করছেন) এবং একইভাবে প্রতিটি অনুরোধে তাদের কুকিজ রয়েছে।

নোট করুন যে API গুলি সহ, ক্লায়েন্টের পক্ষে টোকেনগুলি পাস করা ভাল - এলোমেলোভাবে উত্পন্ন স্ট্রিং - পাসওয়ার্ডের পরিবর্তে বিকাশকারী ওয়েবসাইটটিতে লগইন করে। সুতরাং বিকাশকারীকে আপনার সাইটে লগইন করতে এবং এপিআই যাচাইয়ের জন্য ব্যবহার করা যেতে পারে এমন নতুন টোকেন তৈরি করতে সক্ষম হওয়া উচিত।

টোকেন ব্যবহারের মূল কারণ হ'ল এটি আপস করা থাকলে এটি প্রতিস্থাপন করা যেতে পারে, যদিও পাসওয়ার্ডটি আপস করা থাকলে মালিক বিকাশকারীর অ্যাকাউন্টে লগইন করতে পারে এবং এটি দিয়ে তারা যা কিছু করতে চায় তা করতে পারে। টোকেনের আরও একটি সুবিধা হ'ল আপনি একই বিকাশকারীকে একাধিক টোকেন জারি করতে পারেন। সম্ভবত তাদের একাধিক অ্যাপ্লিকেশন রয়েছে বা কারণ তারা বিভিন্ন অ্যাক্সেস স্তরের টোকেন চায়।

(কেবলমাত্র সংযোগটি এসএসএল-র করার অন্তর্ভুক্তগুলি আপডেট করার জন্য আপডেট করা হয়েছে))

অথবা আপনি এই সমস্যার জ্ঞাত সমাধানটি ব্যবহার করতে এবং এসএসএল ব্যবহার করতে পারেন। স্ব-স্বাক্ষরিত শংসাপত্রগুলি নিখরচায় এবং এটির কোনও ব্যক্তিগত প্রকল্প?

আপনার যদি URL এর পরামিতিগুলির মধ্যে একটির হিসাবে শরীরে হ্যাশ দরকার হয় এবং সেই URL টি একটি ব্যক্তিগত কী দ্বারা স্বাক্ষরিত হয়, তবে মধ্যবর্তী আক্রমণে কেবল শরীরটি প্রতিস্থাপন করতে সক্ষম হবে যা এমন সামগ্রী তৈরি করে যা একই হ্যাশ এমডি 5 হ্যাশ মানগুলি এখনই কমপক্ষে করা সহজ এবং যখন SHA-1 নষ্ট হয়ে যায়, ভাল, আপনি ছবিটি পাবেন।

দেহকে টেম্পারিং থেকে সুরক্ষিত করার জন্য আপনার শরীরের একটি স্বাক্ষর প্রয়োজন, যা একটি মধ্যবর্তী আক্রমণে ভেঙে যাওয়ার সম্ভাবনা কম থাকবে কারণ তারা স্বাক্ষর তৈরি করে এমন ব্যক্তিগত কীটি জানেন না ।

বস্তুত, মূল এস 3 প্রমাণীকরণ নেই বিষয়বস্তুর জন্য অনুমতি দেবেন, সাইন ইন করা একটি দুর্বল MD5 স্বাক্ষর সহ যদ্যপি। আপনি কেবল এইচএমএসিতে একটি কন্টেন্ট-এমডি 5 শিরোনাম (স্বাক্ষর করার জন্য স্ট্রিং) অন্তর্ভুক্ত করার তাদের optionচ্ছিক অনুশীলনটি প্রয়োগ করতে পারেন।

http://s3.amazonaws.com/doc/s3-developer-guide/RESTAuthentication.html

তাদের নতুন ভি 4 প্রমাণীকরণ প্রকল্পটি আরও সুরক্ষিত।

http://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

মনে রাখবেন যে আপনার পরামর্শগুলি ক্লায়েন্টদের জন্য সার্ভারের সাথে যোগাযোগ করা কঠিন করে তুলেছে। তাদের আপনার উদ্ভাবনী সমাধানটি বুঝতে হবে এবং সেই অনুযায়ী ডেটা এনক্রিপ্ট করতে হবে, এই মডেলটি পাবলিক এপিআইয়ের পক্ষে এতটা ভাল নয় (যদি না আপনি on ইয়াহু \ গুগল হয়ে থাকেন) are

যাইহোক, যদি আপনাকে অবশ্যই দেহের সামগ্রীটি এনক্রিপ্ট করতে হয় তবে আমি আপনাকে বিদ্যমান মান এবং সমাধানগুলি পরীক্ষা করার পরামর্শ দিচ্ছি:

এক্সএমএল এনক্রিপশন (ডাব্লু 3 সি স্ট্যান্ডার্ড)

এক্সএমএল সুরক্ষা